داستان شرکت امنیت سایبری که اطلاعات کاربرانش را مخفیانه می‌فروخت

در دنیای پر از تهدیدات سایبری، اعتماد به شرکت‌های امنیتی ضروری است. اما شرکت Avast که خود را به عنوان مدافع حریم خصوصی معرفی کرده بود، با فروش داده‌های کاربران به تبلیغ‌کنندگان، به یکی از بزرگ‌ترین رسوایی‌ها در تاریخ صنعت امنیت سایبری دچار شد.

به گزارش افتانا، در دنیای دیجیتال امروز، حریم خصوصی کاربران به یکی از دغدغه‌های اصلی تبدیل شده است. شرکت‌های امنیت سایبری که وظیفه حفاظت از اطلاعات کاربران را بر عهده دارند، باید قابل‌اعتماد باشند. اما در یک رسوایی جنجالی، مشخص شد که شرکت Avast، که به عنوان یکی از محبوب‌ترین ارائه‌دهندگان آنتی‌ویروس شناخته می‌شود، اطلاعات کاربران خود را مخفیانه به شرکت‌های ثالث فروخته است.

قصه از کجا شروع شد
تحقیقات مشترک وب‌سایت‌های Motherboard و PCMag در سال ۲۰۱۹ نشان داد که شرکت امنیتی Avast از طریق شرکت تابعه خود به نام Jumpshot، داده‌های مرور وب کاربران را جمع‌آوری و به شرکت‌های دیگر می‌فروشد. این داده‌ها شامل تاریخچه جست‌وجوهای گوگل، مکان‌یابی در گوگل مپس، پروفایل‌های لینکدین و بازدیدهای یوتیوب کاربران بود.

در این تحقیقات، مشخص شد که نرم‌افزار Avast فعالیت‌های آنلاین کاربران را تا جزئیاتی مانند کلیک‌های انجام‌شده ردیابی کرده و این اطلاعات را ثبت می‌کند. این داده‌ها سپس توسط Jumpshot به شرکت‌های دیگر فروخته می‌شد. به‌عنوان مثال، محققان دریافتند که از یک کلیک ساده می‌توان متوجه شد که یک کاربر در چه روز و ساعتی محصولی را از فروشگاه آنلاین آمازون خریداری کرده است. این افشاگری‌ها نگرانی‌های جدی درباره حریم خصوصی کاربران ایجاد کرد و منجر به واکنش‌های منفی گسترده‌ای نسبت به Avast شد.

بر اساس گزارش‌های منتشر شده، شرکت آواست از سال ۲۰۱۴ تا ۲۰۲۰ داده‌های کاربران خود را جمع‌آوری و از طریق شرکت تابعه‌اش به نام Jumpshot این اطلاعات را به بیش از ۱۰۰ شرکت تبلیغاتی فروخته است. این اطلاعات شامل:
- وب‌سایت‌های بازدیدشده توسط کاربران
- جست‌وجوهای انجام‌شده در گوگل
- موقعیت مکانی کاربران
- اطلاعات مربوط به وضعیت مالی و اعتقادات مذهبی و سیاسی آن‌ها

این در حالی است که Avast همواره ادعا می‌کرد که از حریم خصوصی کاربران محافظت می‌کند. و البته طبیعی است که از یک شرکت امنیت سایبری انتظاری جز این نمی‌رود.

واکنش نهادهای نظارتی
پس از افشای این تخلف، کمیسیون تجارت فدرال ایالات متحده (FTC) وارد عمل شد و شرکت Avast را به پرداخت ۱۶.۵ میلیون دلار جریمه محکوم کرد. علاوه بر این:

آواست از فروش یا صدور مجوز اطلاعات کاربران برای مقاصد تبلیغاتی منع شد.
این شرکت می‌بایست تمام داده‌های جمع‌آوری‌شده از طریق Jumpshot را حذف کند.
Avast موظف شد که به تمام کاربران آسیب‌دیده اطلاع دهد که داده‌هایشان فروخته شده است.

واکنش Avast و اقدام‌های انجام‌شده
پس از افشای این رسوایی، شرکت Avast در سال ۲۰۲۰ اعلام کرد که فعالیت‌های Jumpshot را متوقف می‌کند. این شرکت در بیانیه‌ای رسمی اظهار داشت که دیگر داده‌های کاربران را برای اهداف تبلیغاتی جمع‌آوری نخواهد کرد. با این حال، بسیاری از کاربران و کارشناسان امنیتی معتقدند که اعتماد به این شرکت به شدت خدشه‌دار شده است.

اوندریج وِلچک (Ondřej Vlček)، مدیرعامل آواست، در پستی وبلاگی اعلام کرد که فورا به جمع آوری اطلاعات و فرایندهای کاری Jumpshot که جزو زیر مجموعه‌هایش است خاتمه می‌دهد و نوشت: حفاظت از اطلاعات مردم اصلی‌ترین اولویت آواست به شمار می‌رود و این اصل باید در تمام فعالیت‌ها و محصولات ما در نظر گرفته شود. لذا هرچیزی که خلاف این اصل باشد غیرقابل قبول خواهد بود. به همین خاطر نیز من با همراهی هیئت‌مدیره تصمیم گرفتیم که به جمع‌آوری دیتا توسط Jumpshot خاتمه دهیم و فرایندهای کاری آن را فورا متوقف کنیم.

با آنکه آواست اعلام کرد به فعالیت Jumpshot خاتمه می‌دهد، اوندریج وِلچک در توضیحاتش تاکید کرد که این شرکت به صورت مستقل فعالیت می‌کرده است.

مشتریان اطلاعات مشتریان، چه کسانی بودند؟
طبق گزارش مشترک دو نشریه مادربرد و PCMag، آواست دیتای مرور وب توسط کاربرانش را از طریق نرم‌افزارهای آنتی‌ویروس خود جمع‌آوری می‌کرد. این دیتا نیز شامل سرچ‌های گوگل، جست‌وجوی موقعیت‌های مکانی، آدرس‌های بازدید شده و بسیاری موارد دیگر می‌شد. البته آواست ادعا کرده که از این اطلاعات نمی‌توان برای شناسایی اشخاص استفاده کرد اما یکی از کارشناسانی که در این رابطه با مادربرد مصاحبه کرده‌بود مدعی شد که چنین امکانی وجود دارد.

Jumpshot مدعی ‌شد که این اطلاعات مربوط به بیش از ۱۰۰ میلیون گجت می‌شود و برخی از بزرگ‌ترین شرکت‌های دنیا از جمله گوگل، مایکروسافت و پپسی مشتری این اطلاعات هستند.

پیامدهای امنیت‌فروشی یک شرکت امنیتی
پس از افشای رسوایی فروش اطلاعات کاربران توسط Avast در سال ۲۰۱۹، این شرکت با عواقب متعددی روبه‌رو شد. در پی این افشاگری، افزونه‌های مرورگر Avast از فروشگاه‌های رسمی کروم، اپرا و فایرفاکس حذف شدند. با این حال، پس از اعمال تغییراتی نظیر اطلاع‌رسانی به کاربران درباره جمع‌آوری داده‌ها و کاهش میزان اطلاعات جمع‌آوری‌شده، افزونه‌های Avast مجدداً به این فروشگاه‌ها بازگشتند.

همچنین، در پی این رسوایی، قیمت سهام Avast حدود ۹٪ کاهش یافت. این شرکت با پذیرش اشتباهات خود، تعطیلی Jumpshot را اعلام کرد.

پس از رسوایی فروش داده‌های کاربران توسط Avast، این شرکت با چالش‌های متعددی مواجه شد. با این حال، در سال ۲۰۲۱، NortonLifeLock پیشنهاد ادغام با Avast را مطرح کرد که در سپتامبر ۲۰۲۲ نهایی شد. این ادغام به Avast کمک کرد تا با بهره‌گیری از منابع و زیرساخت‌های NortonLifeLock، به بهبود محصولات و خدمات خود بپردازد و اعتماد کاربران را بازسازی کند.

این ادغام ممکن است به عنوان تلاشی برای بهبود تصویر عمومی و بازسازی اعتماد کاربران تلقی شود. با این حال، برخی از کاربران و کارشناسان امنیتی همچنان نسبت به استفاده از محصولات این شرکت محتاط هستند.

این رسوایی بار دیگر نشان داد که حتی شرکت‌هایی که ادعای حفاظت از حریم خصوصی دارند، ممکن است از اطلاعات کاربران برای منافع تجاری خود سوءاستفاده کنند. این ماجرا همچنین به کاربران یادآوری می‌کند که هنگام انتخاب ابزارهای امنیتی، باید دقت بیشتری به سیاست‌های حفظ حریم خصوصی شرکت‌ها داشته باشند و از راهکارهای جایگزین و متن‌باز استفاده کنند.